#ccc
[l] Wenn ihr zum 38C3 gehen wollt, dann könnt ihr jetzt das jährliche halfnarp-Ritual vollziehen und die Vorträge klicken, die ihr gucken wollt. Anhand der Klicks versucht die Orga dann die Vorträge so zu legen, dass so wenig Vorträge parallel liegen, die von denselben Leuten geguckt werden wollen.
Außerdem ist das ein erster Blick darauf, welche Vorträge es ins Programm geschafft haben. Von mir ist der Fnord-Jahresrückblick dabei, dieses Jahr allerdings mit atoth statt mit Frank. Der musste leider kurzfristig zum "KI"-Training.
Der beste Vortragstitel geht meiner Ansicht nach jedenfalls klar an "Der Thüring-Test für Wahlsoftware". Wunderbar!
Kennwort Bankraub – 40 Jahre BTX-Hack | HNF Blog https://blog.hnf.de/kennwort-bankraub-40-jahre-btx-hack/
In der Nacht vom 16. zum 17. November 1984 überwies die Hamburger Sparkasse auf das Konto des Chaos Computer Clubs 134.634,88 DM. Der Geldbetrag fiel durch Aufrufen der Bildschirmtext-Seite des Vereins an, der vorher alle Zugangsdaten der Sparkasse ermittelt hatte. Die Aktion machte den CCC landesweit bekannt; sie bedeutete zugleich auch den Beginn der deutschen Hackerkultur.
[l] Ein anderer Leserbrief widerspricht dem Asse-Mineralwasser-Leserbrief:
wenn ich das auch nur annähernd richtig verstehe, ist die Rechnung falsch. Der Einsender rechnet blauäugig die Aktivität des Asse-Wassers (angegeben in Bq, also Zerfälle pro Sekunde) per Umrechnungsfaktor in eine Dosis um (in Sievert, eine Einheit, in der "Sekunde" nicht vorkommt).
Um das richtig zu machen, müsste man eher abschätzen, wieviel von dem kontaminierten Wasser man durchschnittlich im Körper hat, wenn man es regelmäßig trinkt, diese Menge mit seiner Aktivität in Bq multiplizieren, dann das Ganze mit der Anzahl der Sekunden in einem Jahr multiplizieren, und erst dann den ominösen "Sv/Bq" Umrechnungsfaktor anwenden. Da kommt dann ein Wert heraus, der ganz grob eine Million mal höher ist.
Dass an der ursprünglichen Rechnung etwas nicht stimmt, kann man auch mit gesundem Menschenverstand überprüfen. Die gesetzlichen Grenzwerte für Milch liegen bei 370 Bq/kg. Im Vergleich dazu klingen 15 kBq/l für das Asse-Wasser nicht mehr ganz so gesund...
Und wenn man einen Geigerzähler in die Nähe einer Wasserflasche mit 15 kBq/l bringt, macht der einen solchen Lärm, dass man garantiert keinen Durst mehr hat.
[l] Ich hab mich ja schon länger auf unseriöse Security-Hersteller eingeschossen, weil ich das für einen absoluten Bärendienst halte, wenn man von Security spricht und dann hintenrum Dinge nicht einlöst oder Sicherheitslücken kleinredet. Gerade der Code von Security-Firmen sollte technisch über alle Zweifel erhaben sein, finde ich. Ist er aber in der Praxis so GAR nicht. Sehr betrüblich.
Nehmen wir nur Infineon. Die haben schon eine lange Geschichte von verkackter Security, und schlimmer noch: Von Lücken, die Jahre bis Jahrzehnte "unentdeckt" bleiben und die sie dann kleinreden, wenn sie rauskommen. Infineon geriert sich gerne als Smartcard-Spezialexperte aber die Kunden verhungern dann am langen Arm.Ein aktuelleres Beispiel war Eucleak, ein Angriff auf eine Infineon-Library (Code!!) in Yubikeys der Serie 5. Auch diese Lücke war mal wieder ewig alt und segelte 14 Jahre lang durch 80 Common-Criteria-Zertifizierungen.Für mich ist der Fall klar: Da hatte niemand ein Interesse daran, sichere Produkte zu produzieren. Infineon war wichtig, den Scheiß zu verkaufen, den Zertifizierern war wichtig, Kohle abzugreifen, und den Behörden war wichtig, Theater zu veranstalten, damit ihre Zertifizierungen hilfreich und wichtig aussehen. Aus meiner Sicht ist das Gegenteil der Fall.Das war ein Seitenkanalangriff mit dem man das geheime Keymaterial extrahieren kann. Das ist für ein Security-Token, dessen einzige Daseinsberechtigung ist, das geheime Keymaterial vor Zugriff zu schützen, ein verdammter Totalschaden.Yubikey wird also sofort alle Keys zurückgerufen und ausgetauscht haben, richtig? Und Infineon als Schuldiger wird die Kosten getragen haben? Haha, nichts davon ist passiert! Infineon sitzt in ihrem Geldspeicher und zählt die Dollars, bringt eine neue Softwareversion raus und findet, der Rest sei nicht ihr Problem. Yubikey hat Infineons Marketing-Koolaid getrunken und keinen Weg zum Softwareupdate eingebaut, weil das die Sicherheit der Geräte kompromittieren würde.Jetzt wo die Geräte auch ohne Updatemöglichkeit kompromittiert sind, versucht ein Kumpel von mir seit ein paar Wochen, seine drei Yubikeys tauschen zu lassen. Yubikey hat dem erzählt: Lolnope. Dafür braucht ein Angreifer enorme kriminelle Energie und Spezialhardware!1!! Das tauschen wir nicht.Das, meine Damen und Herren, ist der Zustand der Security-Branche. Die Software-Klitschen sind ja schon alle furchtbar, aber die Hardware-Klitschen sind bei näherer Betrachtung nicht besser.Aber hey, glaubt nicht mir, dass dieses Yubikey-Problem gefährlich ist. Glaubt den Österreichern, die Yubikeys mit der alten Software für ID Austria und xIDENTITY (deren elektronischer Identitätsnachweis für digitale Behördengänge) nicht mehr zulassen, weil man da zu leicht den Schlüssel extrahieren kann. Wenn ihr mal schlechte Laune kriegen wollt, guckt euch die Infineon-Marketingmaterialien zu elektronischen Ausweisen an.
[l] Leserbrief zum radioaktiven Wasser in der Asse:
Erst der spaßige Teil bzgl. der Strahlung:
Ich hab mal gesucht, was Mineralwasser so hat. Eigentlich wollte ich auch mal "Heilwässer" aus Karlsbad etc berechnen aber da findet man komischerweise keine Daten...
Naja also mal angenommen jemand trinkt 200 Liter von dem Salzwasser im Jahr
mit 15k Bq/l dann sind wir bei 3E6 bq.Die offiziellen Dosiskoeffizienten bekommt man bei der Bundesregierung und für Erwachsene über 17 ist das 1,8E-11 Sv/Bq und damit kommen wir auf rund 54 MicroSievert pro Jahr.
Damit ist nach Bundesamt für Strahlenschutz das Wasser ungefähr so radioaktiv in seiner Wirkung wie Josefsquelle und Rhäzünser.
Wahrscheinlich "bisschen" salziger.
Wer Deutschlands beliebtestes Mineralwasser, Gerolsteiner, die Treppen
schleppt müsste demnach mind. 2000 Liter davon im Jahr süffeln um äquivalent
viel abzubekommen.
Der Leser ist aber auch Geophysiker und hat noch ein paar fachliche Dinge anzumerken.
"Demnach sei das Salzwasser in einer Tiefe von 700 Metern gefunden worden, also oberhalb der Haupteinlagerungsebenen für Atommüll in 725 und 750 Meter."
Das ist Quatsch. In jeder Grundwasserdynamik-Vorlesung, 1. Stunde wird sofort klar, dass "es ist höher also muss von oben" für gespannte Aquifere nicht
gilt.Da gilt harte Geologie und solange die da keine absolut wasserdichte Sperrschicht bei 710 oder so haben(und die haben sie nicht denn hier schwimmt ja ein Salzdom durchs Sediment nach oben, der alles kaputt drückt) sind solche Aussagen schlicht Unsinn.
Ich hab außerdem die Seismik gesehen, von mehreren Salzstöcken. Da ist alles kaputt. Und war es auch immer schon.
Zitat von alten Messtrupps ausm Feld: "Nach den ersten Schüssen hätten wir eigentlich aufhören können"
Und das alles noch vor Geophysikalischer Prozessierung und allem.
In der Geo-Industrie ist das mehr oder weniger ein offenes Geheimnis, bzw. sogar öffentlich.
Wie so ne Seismik dann aussieht und ein Salzstock, der nach oben Schwimmt kannst du dir hier angucken, lohnt sich alleine zum Lernen. [Asse-Bericht der Bundesgesellschaft für Endlagerung].
Seite 76 gibt's ein erstes schönes Bild der Seismik.
Wer mir hier erzählen will dass die Aquifere dicht sind kann bitte weggehen, das sehen auch Amateure, dass das nicht so ist.
Das Modell inklusive interpretierter Risse ist auf Seite 108 mal auszugsweise für EINES der Profile. Nur ein Schnitt.
Das sind also alles nur Schutzbehauptungen, um Verantwortlichkeiten in die Vergangenheit abzuwälzen, denn der Vorbetreiber war ja... Forschungsbergwerk.
Die Herkunft über Isotopenuntersuchungen etc. nachzuweisen würde die BGE angesichts ihrer Finanzen ein Fingerschnipsen kosten aber ich schätze die Details könnten die Bevölkerung beunruhigen.
Wenn du richtig Bock hast Strg+F "Schädigung" im Geotechnischen Monitoring-Bericht.
Mal ganz abgesehen davon sind diese Berichte auch ein Paradebeispiel für den Stand der Digitalisierung in D:
"Wenn wir n PNG ins PDF packen isses doch digital!!!!1111elf"
Eins muss ich den BGElern allerdings lassen: Normalerweise wird sowas absolut und unter gar keinen Umständen öffentlich. Chapeau.
[l] Old and busted: Sophos gibt zu, ihren Kunden Malware installiert zu haben.
New hotness: Palo Alto gibt zu, ihren Kunden Malware installiert zu haben.
As a means to test an AV/EDR bypass tool, these endpoints had older versions of Cortex XDR agents installed. Unbeknownst to the threat actor, we were able to access these rogue endpoints.
We also discovered a series of toolkits and other files belonging to the threat actor on the system, which included the bypass tool. We successfully traced and identified posts related to the sale of this specific tool on cybercrime forums like XSS and Exploit.
[l] Ich bin ja mit meinem Blog nicht nur ein Sammler von Verschwörungstheorien, ich bin auch eine Cassandra in der IT-Security-Branche. Seit Jahrzehnten sage ich, dass Antiviren die Angriffsoberfläche nicht senken sondern erhöhen, dass das ein falsches Versprechen von Sicherheit ist, dass sich Leute von "Metriken" blenden lassen, die von voreingenommener Seite produziert und vorgelegt werden, und dann falsche Entscheidungen treffen.
Bei Verschwörungstheorien beobachte ich immer begeistert, wie jahrelanges Wegleugnen eines Tages spontan umspringt, entweder zu "haben wir doch schon immer gewusst" (hat sich aber nie im Handeln niedergeschlagen und wurde die ganze Zeit nach Kräften geleugnet!), oder, noch schlimmer, zu "haben wir doch schon immer gesagt" (eine glatte Lüge).
Umso erfreulicher für mich in letzter Zeit, wie sich bei Kernthemen von mir langsam herauskristallisiert, dass wir uns diesem Kipppunkt nähern.
Heise-Kommentar: Sophos und der gebrochene Schwur. Was ist der gebrochene Schwur? Dass Sophos Malware an ihre Kunden verteilt hat, um angebliche chinesische Hacker auszuspionieren, die ihre kaputte Sophos-Software genutzt haben, um Sophos-Kunden anzugreifen. Hier mein Kommentar zu der Sophos-Nummer, als die ganz frisch war. Jürgen Schmidt, Chef von Heise Security, dazu:
Sie haben selbst Spionage-Software entwickelt und die gezielt auf Systemen von Kunden platziert, um diese auszuforschen. Das war eigentlich ein ungeschriebenes Gesetz der Branche: Wir entwickeln keine Malware und insbesondere setzen wir sie nicht ein, um unsere Kunden auszuspionieren.
Ich würde noch einen Schritt weiter gehen und sagen: Das war schon immer Malware. Gut, ich habe da Einblicke, die vielleicht nicht jeder hat. Ich weiß, wie so "Antiviren" funktionieren, und was für Methoden die verwenden, um Kernel-Calls zu hooken und ihren Code in Prozesse zu injecten. Das ist genau das, was eine Verhaltens-Anomalie-Erkennung sofort als Malware flaggen würde. Daher haben die Antiviren Whitelists drin, um sich nicht gegenseitig zu flaggen, und warnen explizit davor, nur eine "Endpoint Security" zur Zeit zu installieren, und deshalb schaltet Norton erstmal den MS Defender aus. Der würde nämlich alle Alarmglocken zünden, wenn Norton tut, was Norton halt so tut. Norton hier als Stellvertreter für alle Antiviren.
Wenn man das weiß, dann wird spontan klar: Das war schon immer Malware, die sich Rechte rausnimmt, die man im System niemandem zugestehen sollte, schon gar nicht Vertriebsgetriebenen Firmen wie Antivirenherstellern.
Dieses ungeschriebene Gesetz, das Jürgen hier zitiert, das gab es noch nie. Das war schon immer ein Trust Me I Know What I'm Doing, und genau wie bei Wurstproduktion will der Konsument da gar nicht so genau hingucken, weil er weiß: Wenn er wüsste, was da passiert, könnte er das Produkt nicht mehr konsumieren.Ich für meinen Teil finde auch nicht glaubwürdig, dass Sophos diesen Übersprung dazu, mit krimineller Energie Malware an ihre Kunden auszuliefern und deren Systeme absichtlich weiter zu gefährden, nur in diesem einen Fall gegen die fiesen Chinesen einsetzt. Kriminelle Energie mateiralisiert sich nicht über Nacht. So viel kriminelle Energie muss man über Jahre hegen und pflegen. Nur eine durch und durch unvertrauenswürdige Firma würde auch nur erwägen, solche Methoden einzusetzen.Überlegt euch auch mal, wie verbogen deren moralischer Kompass sein muss, damit sie das auch noch für eine gute Idee, das öffentlich zuzugeben und sich damit als Helden zu feiern zu versuchen.Sophos steht hier als Stellvertreter für alle Antiviren. Glaubt mal gar nicht, dass irgendeiner von denen vertrauenswürdig ist.Hier ist noch ein Kipppunkt-Indikator. Ein anderer Heise-Kommentator pflichtet mir bei, dass es ungefährlicher ist, für Entdecker von Sicherheitslücken, die im Darknet zu verkloppen als sie dem Verursacher zu melden. Ich persönlich habe seit mindestens 20 Jahren keine Sicherheitslücken mehr initiativ-gemeldet oder auch nur gesucht. Ich suche Sicherheitslücken, wenn mich der Hersteller dafür bezahlt. Wenn ich über eine stolpere, melde ich die nur wenn es sich um freie Software handelt. An Bug Bounty-Programmen nehme ich nicht teil.Die Lobbyisten der Industrie haben die Rahmenbedingungen so gesetzt, dass ich auch allen anderen nur raten kann, es mir gleich zu tun. Anderes aktuelles Beispiel in dem Kontext waren die polnischen Eisenbahnhacker auf dem letzten CCC-Kongress.
Die mussten sich inzwischen vor Gericht einer Klage dieser Firma stellen. Ich bewundere deren Heldenmut, aber hätte ich nicht gemacht. Da wäre ich Trump-Wähler und würde den ganzen Apparat herunterbrennen sehen wollen, bevor ich wieder mitzuhelfen bereit wäre. Dankt CDU und FDP.
Auch da scheint sich inzwischen die Erkenntnis breit zu machen, dass ich die ganze Zeit Recht hatte, und es gibt jetzt den Versuch eines Reförmchens. Ich glaube es, wenn ich es sehe.
Wenn man bedenkt, wie viel billiger und besser wir das alles hätten haben können, wenn die Leute gleich auf mich hören würden. Aber Plan B greift auch: Aus Schmerzen lernen. In diesem Sinne: Geht ihr mal alle in die Cloud und macht Blockchain, IoT und "KI". Wir sehen uns in 10 Jahren wieder und weinen gemeinsam dem verbrannten Geld hinterher.
[l] Nicht nur in Hannover gibt es Security-Nichtschwimmer der Denkschule "ich kann es nicht also ist es unmöglich". Auch das LG Aachen hat sich solche Leute eingetreten (geht um den Fall Modern Solutions). Die hatten mehrere Mandanten in derselben Datenbank, die mit nacktem Arsch im Internet ging, und die Zugangsdaten waren in einem ausgelieferten Binary drin.
Hier die Aussagen der Staatsanwaltschaft, von einem Verfahrensbeobachter berichtet.
Es geht nur um dem SQL Zugriff, nicht um die angebliche Decompilierung. Ihm geht es um die Screenshots.
Zur Nutzung der credentials sagt er "es ist Lebensfremd das man so auf ein Datenbank zugreift"
Ooooh, das ist also lebensfremd, dass man auf eine Datenbank zugreift!1!!
Da fragt man sich ja schon, was die Staatsanwaltschaft den ganzen Tag macht. Faxe schicken nehme ich an.
Wenn ihr also in Deutschland auf derartig stümperhaft kaputtkonfigurierte Bauruinen von Softwaresystemen stoßt, dann versucht nicht denen zu helfen. Die Anreize, die Politik, Gerichte und Staatsanwaltschaften setzen, sind mehr als eindeutig. Es ist weniger riskant und profitabler, die Daten direkt im Darknet zu verkloppen. Der Standort Deutschland ist eh nicht mehr zu retten.
Was der Richter wohl sagen würde, wenn er merkt, dass sein Autoschlüssel auch in alle anderen Autos derselben Baureihe passt? Fände er dann auch, dass die Autohersteller schon alles in ihrer Macht liegende gemacht haben?
Unglaublich.
Im Kern geht es der Kammer darum ob ein Jedermann auf die Daten (SQL Datenbank) zugreifen kann. Das verneint in diesem Fall die Kammer.
Auf dem Screenshot der .exe Datei (in notepad) können sie als Laien nix entnehmen, sie haben es versucht und nix verstanden.
Es ist offensichtlich das Modern Solutions versucht hat (sic!) die Daten zu schützen. Die Schutzmaßnahmen waren für Experten wohl ein Witz, aber das ist irrelevant. Es gab den willen und einen Versuch, das ist durch das Kennwort evident.
Herzlichen Glückwunsch. Jedes Land hat die Regierung und die Richter, die es verdient hat.
[l] Der aktuelle "höchste kriminelle Energie nötig!1!!" Fortinet-Exploit hat jetzt ein Advisory mit sowas wie Details.
A missing authentication for critical function vulnerability [CWE-306] in FortiManager fgfmd daemon may allow a remote unauthenticated attacker to execute arbitrary code or commands via specially crafted requests.
Wohlgemerkt: Nicht "die haben den Erlaubnis-Check verkackt" oder "man kann sich vorbeimogeln". Nein. Es gibt keinen Check.
Das ist schlimmer als Cisco! Die haben einen Check aber das Passwort ist fixiert.
Fortinet hat nicht mal einen Backdoor-Acccount. Es gibt keine Accounts an der Stelle.
Das ist wirklich unglaublich. Denkt dran, dass wir hier von einer Firewall reden. Von einer Security-Komponente. Von der TCB. Das ist die kritische Infrastruktur in euren Netzen. Und da haben die "vergessen", nach einem Login zu fragen.
Unfassbar.
[l] Man kann jetzt Vorträge für den 38C3 einreichen. Ich hab das übersehen, daher sag ich jetzt euch allen Bescheid :-)Hier ist der CfP.
Is Tor still safe to use?
Why hasn't the Tor Project been given all the info they need to keep us safe? What about Responsible Disclosure? This upsets me.
https://blog.torproject.org/tor-is-still-safe/
From the limited information The Tor Project has, we believe that one user of the long-retired application Ricochet was fully de-anonymized through a guard discovery attack. This was possible, at the time, because the user was using a version of the software that neither had Vanguards-lite, nor the vanguards addon, which were introduced to protect users from this type of attack. This protection exists in Ricochet-Refresh, a maintained fork of the long-retired project Ricochet, since version 3.0.12 released in June of 2022.
In contrast to the CCC, Chaos Computer Club, who was provided access to the documents related to the case and was able to analyze and validate the reporter's assumptions, we were only provided a vague outline and asked broad clarifying questions that left us with uncertainty of the facts, and questions of our own. While we appreciate the journalist contacting us, this same access was not given to the Tor Project.\
\
Given the potential risk to our users, we decided to go public. We requested that anyone with additional information about the case share it with us. This would allow us to conduct our own analysis and determine the best course of action to protect our users.\
\
To be clear, The Tor Project did not intend to ask for the sources of the story, but sought to understand what evidence existed for a de-anonymization attack to accurately respond to the investigating reporter's questions and assess our disclosure responsibilities. And we continue to have an interest in obtaining more information about how Onion Services users were de-anonymized. If we had access to the same documents as CCC, it would be possible to produce a report with more clarity regarding the actual state of the Tor network and how it affects the great majority of its users.\
\
We need more details about this case. In the absence of facts, it is hard for us to issue any official guidance or responsible disclosures to the Tor community, relay operators, and users.
#tor #privacy #security #surveillance #censorship #freedom #liberty #ccc
14.09.2024 Zivilgesellschaft verteidigen!
Kampagne Keine Gesichtserkennung
13 Bürgerrechtsorganisationen wollen mit ihrer Kampagne die Ampelregierung an die Forderungen ihres eigenen Koalitionsvertrags erinnern. Dazu gehören Amnesty International und Chaos Computer Club, .Digitale Freiheit, EDRi (European Digital Rights), Wikimedia Deutschland, D64 – Zentrum für Digitalen Fortschritt, AlgorithmWatch u.a.
So stellt Matthias Marx, Sprecher des Chaos Computer Club (CCC). auf Heise.de zu den Ideen von Innenministerin Faeser unser aller Gesichter im Internet biometrisch zu überwachen fest: "Die Bundesregierung lässt sich von den Faschisten treiben und schwenkt in Rekordzeit von 'Anonymität wahren' zu 'alle biometrisch überwachen'. Es gibt aber keine technischen Lösungen für soziale Probleme."
Abgesehen von der Unmöglichkeit durch das Überwachen Aller die Tat von Einzeltätern vorauszusehen, werden wieder viele False Positives, also fälschlicherweise Identifizierte verdächtigt.. Diese müssen dann ihre "Unschuld" beweisen.
Außerdem führen automatische Erkennungsmethoden wieder zu Racial Profiling. Nicht "deutsch" aussehende Menschen werden zu allererst verdächtigt.
Christian Mihr, stellvertretender Generalsekretär Amnesty Internationals in Deutschland weist auf den Schlag gegen eine demokratische Zivilgesellschaft hin: "All unsere Fotos oder Tonaufnahmen im Netz soll der Staat künftig mit Technologie für Stimm- und Gesichtserkennung durchsuchen dürfen, ob es nun Fotos vom Kindergeburtstag sind, unsere Urlaubs-Schnappschüsse oder ein selbst aufgenommenes Lied. Das verletzt die Privatsphäre der gesamten Bevölkerung. Auch das Recht auf Protest ist bedroht, wenn Menschen sich künftig fragen, ob Fotos von Demonstrationen mit Gesichtserkennung ausgewertet werden. Wir brauchen gerade jetzt eine aktive Zivilgesellschaft, die sich im wahrsten Sinne des Wortes traut, Gesicht zu zeigen – keine eingeschüchterte."
Dem ist nichts hinzuzufügen ...
Mehr dazu bei https://www.heise.de/news/CCC-denkt-Anleitung-zu-Sabotage-von-Ueberwachung-an-9865448.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3CL
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8903-20240914-zivilgesellschaft-verteidigen.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8903-20240914-zivilgesellschaft-verteidigen.html
Tags: #Kampagne #Überwachungsexzess #Faeser #CCC #Gesichtserkennung #Lauschangriff #KI-Act #Vorratsdatenspeicherung #Videoüberwachung #Rasterfahndung #Datenbanken #Staatsanwaltschaft #Berlin #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung #Anonymisierung #anlasslos #Hass #Hetze #AfD
'Auch das Recht auf Protest ist bedroht, wenn Menschen sich künftig fragen, ob Fotos von Demonstrationen mit Gesichtserkennung ausgewertet werden. Wir brauchen gerade jetzt eine aktive Zivilgesellschaft, die sich im wahrsten Sinne des Wortes traut, Gesicht zu zeigen – keine eingeschüchterte."'
#Privatspähre #Massenüberwachung #Gesichtserkennung #Demokratie #Datenschutz #CCC #AmnestyInternational #Bürgerrechte #PoweredByRSS
CCC denkt Anleitung zu Sabotage von Überwachung an
[l] Ich bin ja an sich relativ datensparsam. Von mir gibt es wenig Fotos online, und als mich mal ein Kunde aufforderte, mein Stimmprofil für eine Password-Vergessen-Biometrie-Erkennung-Software einzusprechen, habe ich mich geweigert.
Aber es gibt natürlich Dutzende von Videos von Vorträgen, beim CCC und anderswo, d.h. Samples für das Machine Learning von Stimmerkennung o.ä. könnte man schon machen, wenn man wollte. Und natürlich den Podcast.
Bislang war das aber theoretisch. Jetzt ist es praktisch.
Die Bundesregierung verschärft Ihre Pläne zur Netzüberwachung. Zusätzlich zur Ankündigung von Ende August, Fotos und Videos aus dem Internet polizeilicher Gesichtserkennung zu unterziehen, sollen jetzt auch Videos und Tonaufnahmen mittels Stimmerkennung gerastert werden.
Die Anzahl der Dinge, die du nicht mehr machen kannst, wenn du dem Staat und der Werbemafia keine Daten über dich geben willst, ist der Hauptindikator, wie frei die Gesellschaft ist, in der du lebst. Und so langsam bleibt da nicht mehr viel übrig, was man unbeschwert tun kann.
Immer dran denken: Das sind dieselben Leuten, die neulich noch was von illibertären Kräften geschwafelt haben, die man bekämpfen müsse. Die machen jetzt biometrische Rasterfahndung über die gesamte Bevölkerung. Einfach so. Weil sie es können.
31.08.2024 "Überwachungsexzess der Bundesregierung"
Müssen wir jetzt alle unsere Bilder löschen?
Selbst wenn wir das machen würden, gäbe es mit Sicherheit irgendwo im Internet Kopien und Kopien der Kopien ...
Der "Biometrischer Überwachungsexzess der Bundesregierung", wie es der Chaos Computer Club jetzt nennt, darf nicht Realität werden. Unsere Bilder im Internet dürfen nicht zu einer anlasslosen Suche mittels Gesichtserkennung nach irgendwelchen "Schurken" verwendet werden. Das ist, wie der CCC richtig feststellt, "ein Angriff auf die Privatsphäre aller – ohne klare Notwendigkeit oder Nutzen."
Recht auf Anonymität
Schon wegen dieser Feststellung ist eine Datenverarbeitung unserer Bilder nach DSGVO verboten, denn es fehlt ein Zweck oder Nutzen. Neben einigen wenigen Übeltätern(?) werden Millionen fälschlicherweise verdächtigt und verfolgt (False Positives).
Nebenbei wollen wir auch weiterhin unser Recht auf anonyme Nutzung des Internets verteidigen - auch und gerade, wenn wir mit unseren biometrischen Daten auf Bildern bisher sorglos umgegangen sind.
Drehen die Politiker jetzt völlig ab?
Hinzu kommt, dass die KI-Verordnung es verbietet, KI-Systeme zu nutzen, um Datenbanken für biometrische Gesichtserkennung durch das massenhafte ziellose Auslesen von Gesichtsfotos aus dem Netz zu erstellen oder zu erweitern. Wie können Politiker, die an unsere Grundrechte und auch jegliches andere Recht und Gesetz gebunden sind, so gesichtslos der AfD hinterher rennen, anstatt die klaren Grenzen von Menschenrechten und Völkerrecht zu verteidigen?
Hoffen wir morgen auf eine klare Mehrheit gegen Hass und Hetze und für Solidarität und Menschenrechte. Die Politik darf uns nicht immer weiter in ein Gegeneinander und in den Überwachungsstaat führen.
Mehr dazu bei https://www.ccc.de/de/updates/2024/biometrischer-uberwachungsexzess-der-bundesregierung
und https://www.heise.de/news/Gesichtserkennung-Scharfe-Kritik-an-Plan-fuer-biometrische-Rundum-Ueberwachung-9853072.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3Cv
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8888-20240831-ueberwachungsexzess-der-bundesregierung.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8888-20240831-ueberwachungsexzess-der-bundesregierung.html
Tags: #Überwachungsexzess #Faeser #CCC #Gesichtserkennung #Lauschangriff #KI-Act #Vorratsdatenspeicherung #Videoüberwachung #Rasterfahndung #Datenbanken #Staatsanwaltschaft #Berlin #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung #Anonymisierung #anlasslos #Hass #Hetze #AfD
[l] Das Lobbyregister des Bundestags hat ein Positionspapier der Automobilindustrie. Die sind mit den Cybersecurity-Auflagen und der Gesetzeslage unzufrieden.
Fahrzeughersteller sind heute verpflichtet, durch Penetrationstests Sicherheitslücken ihrer Produkte zu identifizieren und zu beseitigen. Sowohl für mit der Durchführung solcher Tests
beauftragte Spezialisten als auch für unabhängig agierende, ethische Sicherheitsforscher besteht dabei nach heutiger Gesetzeslage jedoch die Gefahr, sich strafbar zu machen.
Ach. Ach was! Sag bloß. Hätte doch nur damals jemand den Bundestag gewarnt, bevor sie dieses Schrottgesetz erlassen!1!! Ihr wisst schon, so ein CCC-naher Blogger mit Security-Background am besten!
Aber das soll hier bitte nicht so klingen, als sei die Automobilindustrie im Recht. Absolut nicht. Die machen sich mit dem Positionspapier nackig.
Konkret sagen sie nämlich, dass sie vor allem Sorgen um White-Hat-Hacker haben, die für sie kostenlos freiwillig unbezahlt ohne Entlohnung auf eigene Rechnung in ihrer eigenen Freizeit ihre Produkte auf Sicherheitslücken absuchen -- und die dann aber nicht veröffentlichen sondern schön demur und devot dem Hersteller melden, damit der da solange drauf sitzen kann wie er will. Das ist nämlich viel billiger als wenn man ein paar Profis einstellt. Und hey, man kann auch Spendierhosen anhaben und ein paar Brotkrumen Bug Bounty ausschütten, das ist immer noch eine Größenordnung billiger.
Warum ist das so viel billiger? Weil das kein Prozess ist. Ein regulärer Security-Prozess hat das Ziel, die Security zu verbessern, und danach sagen zu können, wieviel Abdeckung sie hatten, wie schlimm alles ist, und wieviel besser es wird, wenn man die Bugs hier jetzt fixt.
Die Automobilindustrie hat keinen Bock, tatsächlich Security zu machen. Sie würden viel lieber einfach Mails von Leuten kriegen, die ihnen Bugs in ihrer Software schenken, wo sie anderswo Geld für in die Hand nehmen müssten. Und dann dem Gesetzgeber und dem Regulator ins Gesicht zu lügen, man habe ja Security gemacht jetzt.
Nota bene: Bei Bug Bounty trägt der Bugsucher das Risiko, seine Zeit zu verschwenden, ohne etwas gefunden zu haben, und er hat quasi per Definition nicht den Quellcode und keine Architekturdokumentation. Der wird also im Allgemeinen eher oberflächlich und automatisiert suchen, und vielleicht ein paar Tage manuell hier und da mal hinfassen, ob es bröselt beim Anfassen.
Wenn IRGENDWO IRGENDEIN Bug Bounty Typ etwas finden kann, ist das kein Zeichen dafür, dass Security besser wurde, sondern dass der Ist-Zustand wirklich abgrundtief schlecht ist.
Wird noch schlimmer. Die Automobilindustrie möchte auch nur Tests an Autos legalisieren. Autos, die der Kunde gekauft hat. Die sein Eigentum sind. Die wollen nicht legalisieren, dass Leute ihre Backendsystem schief angucken. Ja, so beschissen ist bei uns die Gesetzeslage, dass man sich Sorgen machen muss, wenn man sein eigenes Eigentum untersucht.
Wieso überhaupt das Positionspapier? Es ist m.W. noch kein Bug-Bounty-Aktivist wegen Hackerparagraph verfolgt worden. Das kann ich nur so interpretieren, dass die Autoindustrie enttäuscht ist, wie schlecht die Ausbeute von den Bug-Bounty-Programmen ist. ACH. ACH WAS. Die Leute wollen gar nicht auf eigenes Risiko erst ein Auto kaufen müssen, um es dann zu untersuchen, und auf der Reparatur sitzenzubleiben, wenn sie es versehentlich bricken? Also DAMIT konnte ja wohl NIEMAND rechnen!
Aber aber aber wir sind doch FDP-Wähler hier und hatten gedacht, dass der Markt das regelt!1!! Ja, liebe Automafia. Der Markt wird das regeln. Indem ihr untergeht.
Ein bemerkenswertes Detail gibt es noch. Sie sehen sich nämlich außerstande, selber richtige Audits durchzuführen, weil sie dafür (so behaupten sie jedenfalls) die Einwilligung ihrer ganzen Lieferkette einholen müssten. Und äh nee, dann machen wir lieber Bug Bounty!1!!
Ich bin da vielleicht ein bisschen naiv, aber wieso muss eigentlich Mercedes ihre Zulieferer um Erlaubnis fragen, die von ihnen gekauften Komponenten prüfen zu lassen? Das könnte man doch mal gesetzlich noch deutlicher klarstellen, dass das nicht so ist.
Wieso kann VW nicht einfach in ihrer Zuliefererverträge reinschreiben, dass sie Audits machen wollen? Wenn der Zulieferer das nicht will, kann er geordnet pleite gehen. Das ist ja nicht VWs Anforderung sondern gesetzliche Anforderung an VW! Dass die überhaupt VW damit durchkommen ließen (offenbar!), einfach zu behaupten, sie könnten keine richtigen Audits machen, weil die Zulieferer zu befragen unzumutbar wäre und die würden eh nein sagen!!!
Oh und einen noch, der mich immer besonders ärgert. Die tun da die ganze Zeit so, als seien Pentests ein Mittel zur Steigerung der Security. Sind sie nicht. Pentests sind ein Mittel zum Ausfüllen von sinnlosen Compliance-Checkboxlisten. Pentests bringen gar nichts, ja sogar weniger als gar nichts, weil du danach nicht weißt, wieviel Prozent der Angriffsoberfläche die überhaupt identifiziert und bearbeitet haben. Da werden in der Praxis irgendwelche off-the-shelf Nessus-Forks laufen gelassen und dann geht man ins frühe Wochenende. Da könnte ich endlos drüber kotzen.
Besonders krass ist, wenn du solche Leute dann heulen hörst, dass Nessus so viele false positives hat. NA DANN MACHT HALT EINEN ORDENTLICHEN AUDIT UND KEINEN NESSUS-BULLSHIT!
Mit einer Sache haben sie allerdings Recht.
Während Hersteller und Sicherheitsforscher aus (berechtigter) Sorge vor Strafverfolgung von Penetrationstests absehen müssen und Sicherheitslücken deshalb unentdeckt und unbehandelt bleiben, haben Black Hat Hacker bei der Entdeckung und schädigenden Nutzung von Sicherheitslücken umso leichteres Spiel.
Das habe ich damals dem zuständigen Bundestagsausschuss ins Gesicht angekündigt, und so ist es auch gekommen. Jetzt ist es ein bisschen spät. Jetzt gibt es in diesem Lande fast nur noch Compliance-Securitytheater. Pentests. Automatisierte Scans. Am besten in der Cloud. ISO 27003. Aus meiner Sicht alles wertloses Theater.
Am liebsten hätte die Automobilindustrie, dass es immer schön regnet, aber niemand nass wird. Security frühstücken wir über Bug-Bounty-Theater ab. An unsere Backends lassen wir niemanden ran, und wenn doch jemand guckt, zeigen wir ihn mit dem Hackerparagraphen an, sprechen von krimineller Energie und gezieltem Angriff, und bezahlen Crowdstrike (ja, DAS Crowdstrike!) dafür, das als APT zu "identifizieren" und den Russen in die Schuhe zu schieben.
[l] Ab und zu werde ich gefragt, was ich von der Cybercrime Convention halte.
Ich schließe mich da inhaltlich der Einschätzung des CCC vollumfänglich an.
Alleine dass das Abkommen zu Cybercrime von Russland vorgeschlagen wurde, die praktisch alle Ransomware-Gangster dieser Welt beherrbergt, hätte eine dicke Warnlampe sein müssen, wenn irgendeiner der beteiligten Politiker über mehr als eine Hirnzelle zum Zusammenreiben verfügt hätte.